천천히 알아가는 세상

MINI-100 바이러스 분석하기 - (2) 실습 환경VMware Workstation 15 Player (FREE 버전)Windows XP Professional SP3 (32Bit) MINI-100 바이러스 분석하기 - (1)에 이어서 진행합니다. 19E0:0147 MOV AX, 4200 19E0:014A CWD MOV 명령어로 AX=4200 값을 입력합니다. 이어서 CWD 명령어를 실행합니다. CWD 명령어는 AX 워드 정보를 DX:AX의 더블 워드형으로 확장하는 명령어입니다. AX는 그대로 유지되지만, DX=0000의 값이 됩니다. MOV 명령어 대신 사용하여 DX의 값을 0000으로 만들었는데 파일 크기를 줄이는 방법입니다.(CWD=1 Byte, MOV=3 Byte) 19E0:014B INT 2..

MINI-100 바이러스 분석하기 - (1) 실습 환경VMware Workstation 15 Player (FREE 버전) Windows XP Professional SP3 (32Bit) MINI-100 바이러스의 코드를 실행하면서 레지스터를 살펴보도록 하겠습니다. 총 68줄의 코드입니다. MINI-100 바이러스의 코드는 다음과 같습니다. -MINI-100 Code Start- rsi 100 a 100 PUSH SI PUSH SI POP DI MOV AX,CS INC AH MOV ES,AX MOV CL,64 REPZ MOVSB POP SI MOV AH,4E MOV DX,015E INT 21 JNB 012D PUSH SI PUSH ES PUSH CS POP ES XCHG DI,SI MOV CX,FE9B ..

MINI-100 바이러스에 대하여 알아보기 실습 환경VMware Workstation 15 Player (FREE 버전) Windows XP Professional SP3 (32Bit) MINI-100 코드는 제일 밑에 있습니다. 전위형 바이러스로 확장자가 COM인 파일을 감염시키며, 감염된 파일은 100 Byte의 크기가 증가합니다. COM 확장자는 DOS를 사용할 때 사용하던 확장자로 최대 64 KByte의 크기를 가집니다. 전위형 바이러스란 정상파일 앞에 바이러스가 붙는 형태의 바이러스라고 합니다. 이와 반대로 후위형 바이러스는 정상파일 뒤에 바이러스가 붙는 형태입니다. 코드를 분석하기 전에 MINI-100 바이러스를 실행해 보겠습니다. MINI-100 바이러스는 같은 폴더 안에 있는 COM 확장자..

어셈블리어를 이용하여 1부터 100까지의 합을 구해보자 실습 환경 VMware Workstation 15 Player (FREE 버전) Windows XP Professional SP3 (32Bit) 실습 목표 1부터 100까지 더한 결과를 DS:100 메모리 번지에 저장한다. CMD창을 열어 debug 명령어를 입력합니다. -a 100 :0100 MOV AX, 0 :0103 MOV BX, 0 :0106 MOV CX, 64 :0109 INC AX :010A ADD BX, AX :010C LOOP :010E MOV WORD[100], BX :0112 먼저 AX, BX에 0000의 값을 넣어줍니다. 1부터 100까지의 반복이기 때문에 CX=0064의 값을 넣어줍니다.숫자 100을 16진수로 변환하면 64입니..

INT(Interrupt)와 NOP(No Operation) INT(Interrupt) 소프트웨어 인터럽트를 발생시켜 운영체제의 서브루틴을 호출한다. 인터럽트 LIst (http://stanislavs.org/helppc/) - Interrupt Services DOS/BIOS/EMS/Mouse 자세한 내용은 다음에 다뤄보도록 하겠습니다. 양식으로는 상수만 사용할 수 있다. INT imm Ex) INT 10 NOP(No Operation) 아무 일도 하지 않는 명령어이며, 리버싱 작업에서 목적에 따라 유용하게 사용 될 수 있다. 실습 환경 VMware Workstation 15 Player (FREE 버전) Windows XP Professional SP3 (32Bit) CMD창을 열어 debug 명령어..